デバイスを調査する

  • 7 分

特定のデバイスで発生したアラートの詳細を調査して、アラートまたは侵害の潜在的なスコープに関連する可能性がある他の動作やイベントを特定します。

影響を受けるデバイスがポータルに表示されるたびにこれを選択して、そのデバイスに関する詳細なレポートを開くことができます。 影響を受けるデバイスは、次の領域で識別されます。

  • デバイスの一覧

  • アラート キュー

  • セキュリティ操作ダッシュボード

  • 個々の警告

  • 個々のファイルの詳細ビュー

  • IP アドレスまたはドメインの詳細ビュー

特定のデバイスを調査すると、次のような内容が表示されます。

  • [デバイスの詳細]

  • 対応アクション

  • タブ - 概要、アラート、タイムライン、セキュリティに関する推奨事項、ソフトウェア インベントリ、検出された脆弱性、不足している KB (サポート技術情報の ID)

  • カード (アクティブなアラート、ログオンしているユーザー、セキュリティ評価)

[デバイスの詳細]

デバイスの詳細セクションには、デバイスのドメイン、OS、正常性の状態などの情報が表示されます。 デバイスで利用可能な調査パッケージがある場合は、パッケージをダウンロードするためのリンクが表示されます。

対応アクション

対応アクションは、特定のデバイス ページの上部で実行され、次のものが含まれます。

  • タグの管理

  • デバイスを分離する

  • アプリの実行を制限する

  • ウィルス対策のスキャンを実行する

  • 調査パッケージを収集する

  • ライブ応答セッションを開始する

  • 自動調査を開始する

  • 脅威の専門家に相談する

  • アクション センター

対応アクションは、アクション センター、特定のデバイス ページ、または特定のファイル ページで実行できます。

タブ

概要

概要 タブには、アクティブなアラート、ログオン ユーザー、およびセキュリティ評価のカードが表示されます。

[Active alerts](アクティブなアラート)

タイルから、ネットワーク内の過去 30 日間のアクティブなアラートの全体数を確認できます。 アラートは [New] (新規) と [In progress] (処理中) に分類されます。 各グループは、さらにアラートの重大度レベルに分類されます。 各アラート リング内のアラート数を選ぶと、そのカテゴリのキューの並べ替えられたビュー ("新規" または "進行中") が表示されます。

[Logged on users](ログオン ユーザー)

[Logged on users](ログオン ユーザー) カードには、過去 30 日間にログオンしたユーザーの数と、頻度が最多および最少のユーザーが表示されます。 [See all users] (すべてのユーザーを表示) リンクを選択すると、詳細ウィンドウが開き、ユーザーの種類、サインインの種類、およびユーザーが最初および最後に表示された日時が表示されます。

[Security assessments](セキュリティ評価)

[Security assessments](セキュリティ評価) カードには、全体的な漏えいレベル、セキュリティの推奨事項、インストールされているソフトウェア、検出された脆弱性が表示されます。 デバイスの漏えいレベルは、保留中のセキュリティに関する推奨事項の累積的な影響によって決定されます。

アラート

[アラート] タブには、デバイスに関連付けられているアラートの一覧が表示されます。 この一覧は、アラート キューのフィルター選択されたバージョンであり、アラートの簡単な説明、重大度 (高、中、低、情報)、キュー内の状態 (新規、進行中、解決済み)、分類 (設定されていない、偽のアラート、真のアラート)、調査の状態、アラートのカテゴリ、アラートに対処しているユーザー、最後のアクティビティが表示されます。 アラートをフィルター処理することもできます。

タイムライン

[タイムライン] タブには、デバイスで観察されたイベントおよび関連するアラートが時系列で表示されます。 これは、デバイスに関連するすべてのイベント、ファイル、および IP アドレスを関連付けるのに役立ちます。

また、タイムラインでは、特定の期間内に発生したイベントを選択的にドリルダウンすることもできます。 選択した期間にわたってデバイスで発生したイベントのテンポラル シーケンスを表示できます。 ビューをさらに細かく制御するために、イベント グループでフィルター処理したり、列をカスタマイズしたりすることができます。

機能の例を次に示します。

  • 特定のイベントを検索する

    • 検索バーを使用して、特定のタイムライン イベントを探します。

  • 特定の日付のイベントをフィルター処理する

    • テーブルの左上にあるカレンダー アイコンを選択すると、過去 1 日、1 週間、30 日間、またはカスタム範囲のイベントが表示されます。 既定では、デバイスのタイムラインは過去 30 日間のイベントを表示するように設定されています。

    • タイムラインを使用して、セクションを強調表示することによって、特定の時点に移動します。 タイムライン上の矢印によって自動調査が特定されます。

  • 詳細なデバイス タイムライン イベントをエクスポートする

    • 現在の日付または最大 7 日間の指定された日付の範囲について、デバイス タイムラインをエクスポートします。

特定のイベントの詳細が表示されます。表示はイベントの種類によって異なり、次に例を示します。

  • Application Guard によって格納される - Web ブラウザー イベントが、分離されたコンテナーによって制限された

  • アクティブな脅威が検出された - 脅威の実行中に脅威の検出が発生した

  • 修復に失敗した - 検出された脅威を修復しようとしたが失敗した

  • 修復に成功した - 検出された脅威は停止されてクリーニングされた

  • 警告がユーザーによってバイパスされた - Windows Defender SmartScreen 警告が破棄されユーザーによって上書きされた

  • 疑わしいスクリプトが検出された - 潜在的に悪意のあるスクリプトが実行されているのが検出された

  • アラート カテゴリ - イベントによってアラートが生成された場合、アラート カテゴリ ("横移動" など) が指定される

イベントにフラグを付ける

デバイスのタイムライン内を移動しているときに、特定のイベントを検索してフィルター処理できます。 イベント フラグは次の方法で設定できます。

  • 最も重要なイベントの強調表示

  • 詳細情報が必要なイベントのマーク付け

  • クリーンな侵害タイムラインの構築

フラグを付けるイベントを見つけます。 [フラグ] 列のフラグ アイコンを選択します。

フラグ付きイベントの表示

タイムラインの [フィルター] セクションで、[フラグ設定済み] イベントを有効にします。 [適用] を選択します。 フラグが設定されたイベントのみが表示されます。 時間バーをクリックすると、さらに多くのフィルターを適用できます。 フラグが設定されたイベントよりも前のイベントのみが表示されます。

イベントの詳細

イベントを選択すると、そのイベントに関する関連する詳細情報が表示されます。 パネルに全般的なイベント情報が表示されます。 該当し、データがある場合、関連エンティティとそのリレーションシップを示すグラフも表示されます。

イベントと関連イベントをさらに調査するために、[Hunt for related events](関連イベントのハンティング) を選択して、高度なハンティング クエリをすばやく実行できます。 このクエリでは、選択したイベントと、同じエンドポイントでほぼ同時に発生した他のイベントの一覧が返されます。

セキュリティに関する推奨事項

セキュリティに関する推奨事項は、Microsoft Defender for Endpoint の [脅威と脆弱性の管理] 機能から生成されます。 推奨事項を選択すると、パネルが表示され、推奨事項の説明や、設定しなかった場合に関連する潜在的なリスクなど、関連する詳細情報を表示できます。

ソフトウェア インベントリ

[ソフトウェア インベントリ] タブでは、デバイス上のソフトウェアを、弱点や脅威と共に表示できます。 ソフトウェアの名前を選択すると、ソフトウェアの詳細ページが表示されます。ここで、セキュリティに関する推奨事項、検出された脆弱性、インストールされているデバイス、およびバージョンの配布を確認できます。

検出された脆弱性

[Discovered vulnerabilities](検出された脆弱性) タブには、デバイスで検出された脆弱性の名前、重大度、および脅威の分析情報が表示されます。 特定の脆弱性を選択すると、説明と詳細が表示されます。

不足しているナレッジ ベース

[Missing KBs](不足している KB) タブには、デバイスの不足しているセキュリティ更新プログラムが一覧表示されます。